- Что представляет собой astra linux?
- : сертификат соответствия фсб № сф/014-2234 на
- Astra linux – отечественная защищенная ос от минобороны рф
- Достижение высокого уровня безопасности
- История astra linux
- Кто использует astra?
- Образование
- Сертификаты на техническую поддержку (с ндс)
- Смоленск (все формы поставки без ндс)
- Степени секретности
Что представляет собой astra linux?
Astra — отечественный дистрибутив Linux, сочетающий в себе компоненты от сообщества, распространяющиеся по открытым лицензиями типа GPL, MPL, Xiph License и др., и программное обеспечение собственной разработки одноименной группы компаний. Пользовательский функционал закрыт по большей части компонентами из состава открытого программного обеспечения — стандартные механизмы Linux используются для выполнения основных задач, например, запуска приложений, виртуализации, поддержки аппаратного обеспечения или того же Steam.
С точки зрения лицензирования дистрибутив является сложным объектом (понятие из ч. 4 ГК РФ), т.е. составным произведением, поэтому распространение его в целом имеет некоторые ограничения. Хотя все компоненты открытого программного обеспечения, входящие в продукт, сохраняют свой свободный статус.
Версии Astra Linux существуют под самые разнообразные платформы. При этом наименование платформы «спрятано» в первую цифру номера версии:
Казалось бы, непривычное решение — вынести на первую позицию тип платформы, получив странную последовательность версий — 1.6, 2.12.13, 8.1 и т.п. Но это сделано осознанно, чтобы упростить жизнь технической поддержке, поскольку визуально графический интерфейс операционной системы выглядит одинаково на любой аппаратной платформе вне зависимости от целевой области применения компьютера: от сервера до смартфона. Так в разговоре с пользователем можно быстрее понять, о какой именно платформе идет речь.
Кстати, версия под каждую платформу имеет свое кодовое имя в честь одного из городов-героев России. Здесь гайдлайнов нет, опираемся на чувство прекрасного.
Среди разрабатываемых версий Astra есть как обычные дистрибутивы, так и защищенные (Special Edition), ориентированные на работу с конфиденциальными данными, сертифицированные по требованиям безопасности информации всех систем сертификации России.
С точки зрения пользовательского набора функций версии почти не различаются. Однако система защиты в них выстроена по-разному. Некоторые компоненты специальной версии, требующиеся для работы с конфиденциальными данными, хотя они и не обязательно избыточны для обычных пользователей и бизнеса, в обычную версию не включены,, т.к. нормативная и правовая база Российской Федерации требует их обязательной сертификации.
: сертификат соответствия фсб № сф/014-2234 на
Получен сертификат соответствия о соответствии операционной системы специального назначения “Astra Linux Special Edition” РУСБ.10015-07 требованиям безопасности информации ФСБ России.
Сертификат соответствия № СФ/014-2234 от 04.10.2021 г. – подтверждает, что операционная система специального назначения «Astra Linux Special Edition» соответствует требованиям ФСБ России к программному обеспечению, используемому в информационных и телекоммуникационных системах специального назначения, и требованиям по защите информации от несанкционированного доступа с использованием средств криптографической защиты информации в автоматизированных информационных системах, расположенных на территории Российской Федерации, 1 класса, и может использоваться для обработки информации, содержащей сведения, составляющую государственную тайну.
Операционная система специального назначения «Astra Linux Special Edition» внесена в Перечень средств защиты информации, сертифицированных ФСБ России Центром по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ ФСБ России).
С условиями эксплуатации изделия «Astra Linux Special Edition» РУСБ.10015-07 можно ознакомиться скачав документ “Условия эксплуатации”.
Также сообщаем о продлении до 2021 года действия сертификата соответствия системы сертификации Минобороны России №1339, подтверждающего соответствие операционной системы «Astra Linux Special Edition» требованиям безопасности информации.
Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Astra linux – отечественная защищенная ос от минобороны рф
Производитель заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL». Система работает с пакетами на базе .deb. Исходные тексты ядра доступны на сайте разработчика.
Выпускаемые релизы носят названия городов-героев России и стран СНГ.
ОС специального назначения Astra Linux Special Edition предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности до уровня «совершенно секретно» . Защищенная ОС Astra Linux Special Edition создана и развивается на основе распространенных дистрибутивов Debian и Ubuntu.
Ключевой особенностьюAstra Linux Special Edition является наличие встроенных средств защиты информации, интегрированных с ее основными компонентами. Это — основа для создания защищенных высокопроизводительных масштабируемых решений широкого спектра: от автономных ЭВМ и небольших программно-технических комплексов до сложнейших территориально распределенных автоматизированных систем.
Завершена сертификация операционной системы специального назначения Astra Linux Special Edition в системе сертификации ФСТЭК (сертификат соответствия № 2557 от «27» января 2021 г.). Проведенные испытательной лабораторией «НПО «Эшелон» сертификационные испытания подтвердили соответствие операционной системы требованиям руководящих документов ФСТЭК по 3-му классу защищенности СВТ и 2-му уровню контроля отсутствия недекларированных возможностей. Операционная система может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно. Cоответствие операционной системы требованиям безопасности информации также подтверждено сертификатом соответствия № 1339 от 24.09.2021 г. системы сертификации средств защиты информации Минобороны России. Сертифицирована и в системе сертификации ФСБ.
Разработчик семейства защищенных ОС Astra Linux – компания «НПО РусБИТех» – создала базовый дистрибутив ОС Astra Linux Special Edition для мобильных устройств, работающих на базе процессоров с архитектурой ARM.
Система может работать как на планшетах, так и на смартфонах. На основе исходных кодов базового дистрибутива компания по заказу собирает ее индивидуально под конкретное устройство клиента, каждый раз по-новому.
Помимо непосредственно необходимых заказчику компонентов ОС при сборке мобильной версии Astra Linux Special Edition учитывается также степень секретности обрабатываемой информации на устройстве и необходимая система сертификации СЗИ (Минобороны, ФСТЭК, ФСБ). Установка мобильной ОС и прошивка устройства ведутся в заводских условиях.
Astra Linux Common Edition предназначена для решения задач среднего и малого бизнеса, в то время как версия Special Edition — это защищенная система специального назначения, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше “совершенно секретно”. В состав Astra Linux Special Edition включены программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.
Идентификация и аутентификация
Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма PAM. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.
Дискреционное разграничение доступа
В Astra Linux реализован механизм избирательного управления доступом, который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов (UID и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).
Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа — ACL, с помощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему.
Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Механизм мандатного разграничения доступа затрагивает следующие подсистемы:
При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
Модель контроля и управления доступом
Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[ мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель), которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы.
В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[.
В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.
Защита от эксплуатации уязвимостей
В состав ядра операционной системы Astra Linux включен набор изменений PaX, обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:
Другие функции
- Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
- Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
- Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
- Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях, запущенных в собственном изолированном окружении.
- Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
- Контроль целостности: для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94.1
Аттестационные требования ФСТЭК
Нормативные документы по НСД выделяют семь классов защищённости, объединённых в четыре группы. Системы, отнесённые к первой группе, в которую входит всего один класс номер 7, обладают самой низкой защищённостью. В противоположность им системы группы 1, отнесённые к классу номер 1, благодаря верифицированной защите имеют наивысший уровень защищённости. Группа 2, в состав которой входят классы номер 5 и 6, определяет системы с дискреционными методами защиты, а в третьей группе объединены классы номер 2, 3 и 4 для систем с мандатными методами защиты. В рамках каждого класса чётко определено, какие функции системы разграничения доступа должна поддерживать сертифицируемая система. Именно их наличие и определяет решение экспертов об отнесении её к тому или иному классу.
Семь классов защищённости от НСД собраны в четыре группы, характеризующиеся разными методами защиты.
Аналогичным образом обстоят дела и с определением отсутствия в системе НДВ.
Четыре уровня контроля отсутствия НДВ определяют возможность использования системы для обработки конфиденциальной (уровень 4), секретной (уровень 3), совершенно секретной (уровень 2) информации и информации особой важности (уровень 1).
Четыре уровня контроля отсутствия НДВ определяют, какие грифованные документы может обрабатывать информационная система.
Достижение высокого уровня безопасности
Как уточнил CNews у экспертов, защита секретной информации, кроме дискреционной модели, осуществляется собственным механизмом мандатного управления доступом, который распространяется на все компоненты системы, включая шину межпроцессного взаимодействия d-bus, систему инициализации systemd, системы виртуализации, домен пользователей и т. д. Это позволяет разграничить информационные потоки между различными уровнями секретности в информационных системах.
в Astra Linux реализована поддержка четырех рабочих столов
По словам директора по продукту Astra Linux Романа Мылицына, получение сертификата ФСТЭК России также стало возможным благодаря регулярному проведению широкого спектра проверок и тестирования операционной системы. Мероприятия проводятся с целью выявления и устранения любых ошибок и уязвимостей в ОС.
История astra linux
Разработка ОС Astra Linux ведется с 2008 г. и на 24 мая 2021 г. существует в двух версиях – Common Edition и Special Edition. Common Edition предназначена для потребителей, а также для среднего и малого бизнеса, образовательных учреждений, она находится в свободном доступе и может быть скачана с официального сайта проекта. Special Edition разработана для государственных и военных предприятий и не распространяется в свободном доступе.
файловый менеджер Astra Linux
Первый стабильный релиз Common Edition (версия 1.5) состоялся в конце 2009 г. В настоящее время Common Edition обновлена до версии 2.12, вышедшей в августе 2021 г. и основанной на ядре Linux 4.15.3. Common Edition (название релиза – «Орел») поддерживает исключительно архитектуры х86 и х64.
Тем временем, Special Edition существует в версиях под архитектуры «Эльбрус 2000» (релиз «Ленинград»), IBM System z («Мурманск»), POWER («Керчь), MIPS («Севастополь»), ARM («Новороссийск») и x86-64 («Смоленск»). Каждый из релизов имеет различные сферы применения:
Выпуск первой стабильной версии Astra Linux Special Edition, получившей индекс 1.2, состоялся в октябре 2021 г. Актуальная на 24 мая 2021 г. версия 1.6 увидела свет в сентябре 2021 г. Она основана на ядре Linux 4.15.3, выпущенном в январе 2021 г. Обновления ОС, по данным CNews, происходят раз в квартал, и в настоящее время для тестирования доступна версия ядра 4.19.
Кто использует astra?
На самом деле клиентов у Astra Linux множество, ведь внедрялась система еще до сертификации. Да и потенциальный рынок достаточно велик — это органы военного и государственного управления, работающие с любой информацией ограниченного доступа. В отсутствии сертифицированной ОС эти организации создавали собственные информационные системы — компоновали существующие решения, дорабатывали их в рамках отдельных проектов, чтобы пройти аттестацию для работы с данными, требующими защиты.
Однако такие решения дороги и далеко не всегда оптимальны. Предположим, нет системы, которая бы позволяла в рамках одного рабочего места разграничить доступ к трем уровням секретных данных — значит можно использовать три разных компьютера, а ключи от них выдавать под роспись в журнале (т.е. проблему решить можно административным способом, хоть и не самым простым и удобным).
Это не соответствует современному уровню развития IT. Да и разработка таких систем требует значительного времени, т.к. тут нужна и индивидуальная модель угроз (актуальных именно для этой системы), и дополнительные компоненты защиты, и сама процедура аттестации.
Серийный продукт — в данном случае Astra Linux Special Edition — дешевле, логичнее, современнее, хоть и требует от администраторов прохождения этапа обучения. Иначе будет сложно настраивать систему безопасности, которой нет аналогов в ПО для широкого круга пользователей.
Astra Linux подходит для внедрения даже на высших уровнях управления. К примеру, на этот продукт планирует перейти Администрация Президента. В планы переход на Astra Linux был включен довольно давно, но на тот момент система не могла быть внедрена, т.к. не имела интеграции с необходимыми компонентами.
ОС ведь не существует сама по себе, а встраивается в некую экосистему программных продуктов — антивирусов, систем защиты каналов связи и т.п. С тех пор была выпущена новая версия Astra Linux, под которую уже началась сертификация необходимых решений, например, Антивируса Касперского 10-й версии. И работа с производителями других программных продуктов и систем защиты продолжается.
Образование
Сертификаты на техническую поддержку (с ндс)
1) Релиз Орёл
Типы сертификатов (отдельно на сервер и отдельно на клиентскую лицензию):
Базовая поддержка (12 мес.) – при отгрузке предоставляется PDF сертификат дистрибьютору, клиенту отправляется на почту.
Расширенная поддержка (12, 24, 36 мес.) – при отгрузке предоставляется PDF сертификат дистрибьютору, клиенту отправляется на почту.
Привилегированная поддержка (12, 24, 36, 48, 60 мес.) – при отгрузке предоставляется PDF сертификат дистрибьютору, клиенту отправляется на почту. Обновление в виде ссылки на скачивание дистрибутива
2) Релиз Смоленск
Типы сертификатов:
Базовая поддержка (12 мес.) – при отгрузке предоставляется PDF сертификат дистрибьютору, клиенту отправляется на почту.
Расширенная поддержка (12, 24, 36 мес.) – при отгрузке предоставляется PDF сертификат дистрибьютору, клиенту отправляется на почту.
Привилегированная поддержка ВОХ (12, 24, 36, 48, 60 мес.) – при отгрузке предоставляется PDF сертификат дистрибьютору, клиенту отправляется на почту. Обновление в виде ссылки на скачивание дистрибутива. Вне зависимости от имеющейся версии обновление до версии 1.6.
Привилегированная поддержка OEM (12, 24, 36, 48, 60 мес.) – при отгрузке предоставляется PDF сертификат дистрибьютору, клиенту отправляется на почту. Обновление в виде ссылки на скачивание дистрибутива. Вне зависимости от имеющейся версии обновление до версии 1.6.
Привилегированная поддержка дополнительная лицензия (12, 24, 36, 48, 60 мес.) – при отгрузке предоставляется PDF сертификат дистрибьютору, клиенту отправляется на почту. Обновление в виде ссылки на скачивание дистрибутива. Вне зависимости от имеющейся версии обновление до версии 1.6.
Смоленск (все формы поставки без ндс)
ОС не делится на клиентскую и серверную части.
Виды сертификации: ФСТЭК, ФСБ, Мин Обороны
Форматы поставки:
Версии – 1.2, 1.3, 1,4, 1.5, 1.6. Если у заказчика нет особых требований к версии, то нужно выбрать 1.6.
Для ФСБ лицензий версия 1.6 называется “Исполнение 1”. В этой версии есть только ВОХ и доп. лицензия.
Примеры расчетов:
1) Заказчик покупает Астру впервые (например, 10 штук) и нужно просто купить ПО:
2) Заказчик покупает Астру впервые (например, 10 штук) и нужно купить ОС вместе с ПК:
3) Заказчик докупает лицензии к уже существующим – тогда берёт любую комбинацию, какую захочет. При этом вендор будет запрашивать наличие диска (его номер или номер заказа).
Если у заказчика есть, например, 5 офисов, и в них есть, например, 3 помещения, которые должны быть аттестованы тем или иным органом, то он должен брать минимум 3 ВОХа, чтобы в каждом этом помещении была коробка с формуляром, который подтверждает, что все ОК.
Степени секретности
Применительно к системам обработки данных ограниченного доступа важную роль играет характер этих данных — это информация для свободного распространения, персональные данные, ценные медицинские сведения, государственная тайна, в том числе сведения особой важности.
Логично, что для каждой степени секретности предусмотрен свой список функциональных требований и критериев оценки «доверенности» кода информационных систем — свой класс защиты, включающий уровень доверия. Список требований для каждого последующего уровня включает в себя список для предыдущего уровня, а также некоторые дополнительные условия.
Низшие классы — с шестого по четвертый — это требования для защиты персональных данных, а также коммерческой и служебной тайны. На российском рынке продукты, соответствующие этим классам, уже не редкость. Мы же поговорим о сертификации по высшим классам — с третьего по первый — с грифами «секретно», «совершенно секретно» и «особой важности» (живые примеры — чертежи нового истребителя Сухого или общие данные о состоянии критической инфраструктуры в стране, не так давно приравненные к государственной тайне).
И здесь самое сложное — даже не функциональные требования (в конце концов, разработать что-то — не проблема), а подтверждения доверия к ОС. Для этого необходима корректная математическая модель управления доступом к данным и обоснование соответствия реального программного продукта этой математической модели. Т.е. процедура разработки системы, ориентированной на работу с секретными данными, многократно усложняется.
Вот пример реакции системы на включение политики MLS (multi level security) в SELinux в дистрибутиве Fedora:
Как мы видим, ни графическая оболочка, ни консольные приложения не умеют по умолчанию корректно обрабатывать ситуацию, когда в системе включена политика работы с несколькими уровнями секретности. Соответственно, всё это необходимо или перерабатывать или делать своё, что и сделано в Astra Linux.
К слову, сертификация не ограничивает свободу системных администраторов по части усиления защиты. Прохождение сертификации отражает удовлетворение минимальных требований, однако каждая компания, государственный орган и даже каждый отдельный безопасник могут усовершенствовать систему так, как считают нужным.
